Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Gokapi de Forceu (CVE-2026-29084)
Fecha de publicación:
06/03/2026
Idioma:
Español
Gokapi es un servidor de intercambio de archivos autoalojado con expiración automática y soporte de cifrado. Antes de la versión 2.2.3, el flujo de inicio de sesión acepta solicitudes que contienen credenciales sin mecanismos de protección CSRF vinculados al contexto de la sesión del navegador. El gestor analiza los valores del formulario directamente y crea una sesión tras la validación exitosa de las credenciales. Este problema ha sido parcheado en la versión 2.2.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Gokapi de Forceu (CVE-2026-29061)
Fecha de publicación:
06/03/2026
Idioma:
Español
Gokapi es un servidor de intercambio de archivos autoalojado con expiración automática y soporte de cifrado. Antes de la versión 2.2.3, una vulnerabilidad de escalada de privilegios en la lógica de degradación de rango de usuario permite que las claves API existentes de un usuario degradado retengan los permisos ApiPermManageFileRequests y ApiPermManageLogs, lo que permite el acceso continuo a los puntos finales de gestión de solicitudes de carga y visualización de registros después de que al usuario se le hayan retirado todos los privilegios. Este problema ha sido parcheado en la versión 2.2.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Gokapi de Forceu (CVE-2026-29060)
Fecha de publicación:
06/03/2026
Idioma:
Español
Gokapi es un servidor de intercambio de archivos autoalojado con soporte para expiración automática y cifrado. Antes de la versión 2.2.3, un usuario registrado sin privilegios para crear o modificar solicitudes de archivos puede crear una clave API de corta duración que tiene permiso para hacerlo. El usuario debe estar registrado en Gokapi. Si no hay usuarios con acceso al menú de administración/carga, no hay impacto. Este problema ha sido parcheado en la versión 2.2.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en oRPC de middleapi (CVE-2026-28794)
Fecha de publicación:
06/03/2026
Idioma:
Español
oRPC es una herramienta que ayuda a construir APIs que son de tipo seguro de extremo a extremo y se adhieren a los estándares OpenAPI. Antes de la versión 1.13.6, existe una vulnerabilidad de contaminación de prototipos en el deserializador JSON RPC del paquete @orpc/client. La vulnerabilidad permite a atacantes remotos no autenticados inyectar propiedades arbitrarias en el Object.prototype global. Debido a que esta contaminación persiste durante la vida útil del proceso Node.js y afecta a todos los objetos, puede conducir a graves brechas de seguridad, incluyendo omisión de autenticación, denegación de servicio y potencialmente ejecución remota de código. Este problema ha sido parcheado en la versión 1.13.6.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en OneUptime (CVE-2026-28787)
Fecha de publicación:
06/03/2026
Idioma:
Español
OneUptime es una solución para monitorear y gestionar servicios en línea. En la versión 10.0.11 y anteriores, la implementación de autenticación WebAuthn no almacena el desafío en el lado del servidor. En su lugar, el desafío se devuelve al cliente y se acepta de nuevo desde el cuerpo de la solicitud del cliente durante la verificación. Esto viola la especificación WebAuthn (W3C Web Authentication Level 2, §13.4.3) y permite a un atacante que ha obtenido una aserción WebAuthn válida (por ejemplo, a través de XSS, MitM o exposición de registros) reproducirla indefinidamente, eludiendo completamente la autenticación de segundo factor. No hay parches conocidos disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en Ghostfolio (CVE-2026-28785)
Fecha de publicación:
06/03/2026
Idioma:
Español
Ghostfolio es un software de gestión de patrimonio de código abierto. Antes de la versión 2.244.0, al eludir la validación de símbolos, un atacante puede ejecutar comandos SQL arbitrarios a través del método getHistorical(), lo que podría permitirle leer, modificar o eliminar datos financieros sensibles para todos los usuarios en la base de datos. Este problema ha sido parcheado en la versión 2.244.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en Gokapi de Forceu (CVE-2026-28682)
Fecha de publicación:
06/03/2026
Idioma:
Español
Gokapi es un servidor de intercambio de archivos autoalojado con expiración automática y soporte de cifrado. Antes de la versión 2.2.3, la implementación SSE del estado de carga en /uploadStatus publica el estado de carga global a cualquier oyente autenticado e incluye valores de file_id que no están acotados al usuario solicitante. Este problema ha sido parcheado en la versión 2.2.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Gokapi de Forceu (CVE-2026-28683)
Fecha de publicación:
06/03/2026
Idioma:
Español
Gokapi es un servidor de intercambio de archivos autoalojado con expiración automática y soporte de cifrado. Antes de la versión 2.2.3, si un usuario autenticado malicioso sube un SVG y crea un enlace directo para él, puede lograr XSS almacenado. Este problema ha sido parcheado en la versión 2.2.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en Kimai (CVE-2026-28685)
Fecha de publicación:
06/03/2026
Idioma:
Español
Kimai es una aplicación de seguimiento de tiempo multiusuario basada en web. Antes de la versión 2.51.0, 'GET /API/invoices/{id}' solo verifica el permiso view_invoice basado en roles, pero no verifica que el usuario solicitante tenga acceso al cliente de la factura. Cualquier usuario con ROLE_TEAMLEAD (que otorga view_invoice) puede leer todas las facturas en el sistema, incluyendo aquellas que pertenecen a clientes asignados a otros equipos. Este problema ha sido parcheado en la versión 2.51.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en Ghostfolio (CVE-2026-28680)
Fecha de publicación:
06/03/2026
Idioma:
Español
Ghostfolio es un software de gestión de patrimonio de código abierto. Antes de la versión 2.245.0, un atacante puede explotar la función de importación manual de activos para realizar un SSRF de lectura completa, lo que les permite exfiltrar metadatos sensibles de la nube (IMDS) o sondear servicios de red internos. Este problema ha sido parcheado en la versión 2.245.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en IRRd (CVE-2026-28681)
Fecha de publicación:
06/03/2026
Idioma:
Español
Demonio de Internet Routing Registry versión 4 es un servidor de base de datos IRR, que procesa objetos IRR en formato RPSL. Desde la versión 4.4.0 hasta antes de la versión 4.4.5 y desde la versión 4.5.0 hasta antes de la versión 4.5.1, un atacante puede manipular el encabezado HTTP Host en una solicitud de restablecimiento de contraseña o creación de cuenta. El enlace de confirmación en el correo electrónico resultante puede entonces apuntar a un dominio controlado por el atacante. Abrir el enlace en el correo electrónico es suficiente para pasar el token al atacante, quien puede entonces usarlo en la instancia real de IRRD para tomar control de la cuenta. Una cuenta comprometida puede entonces ser utilizada para modificar objetos RPSL mantenidos por los mntners de la cuenta y realizar otras acciones de la cuenta. Si el usuario tenía la autenticación de dos factores configurada, lo cual es requerido para usuarios con acceso de anulación, un atacante no puede iniciar sesión, incluso después de restablecer la contraseña con éxito. Este problema ha sido parcheado en las versiones 4.4.5 y 4.5.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2026

Vulnerabilidad en Home-Gallery.org (CVE-2026-28679)
Fecha de publicación:
06/03/2026
Idioma:
Español
Home-Gallery.org es una galería web de código abierto autoalojada para explorar fotos y videos personales. Antes de la versión 1.21.0, cuando un usuario solicita una descarga, la aplicación no verifica si el archivo solicitado se encuentra dentro del directorio de origen de medios, lo que puede resultar en que archivos sensibles del sistema también sean descargables. Este problema ha sido parcheado en la versión 1.21.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026
Suscribirse a Vulnerabilidades